案例名称
典型中小企业组网实例
技术范围
交换
技术关键词
VLAN,NAT,ACL ,OSPF
案例描述
典型中小企业组网实例,申请一个公网 IP 和 10M 带宽,一台 CISCO 路由器,WEB
服务器,文件服务器,FTP 服务器等,客户端办公电脑,300 台左右,多部门划
分 VLAN,用 ACL 控制各部门访问权限,配置网络打印机。
设备型号
核心交换机 CISCO 4503 , 接入交换机 CISCO 2950 ,路由器 CISCO 2621 , 防
火墙 NOKIA IP350
网络拓扑
解决方案
1,配置 Router
a).配置接口
Interface fastethernet0/1
Ip address 172.27.0.1 255.255.255.252
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/2
Ip address 202.103.0.117 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown
b)配置路由
ip route 0.0.0.0 0.0.0.0 202.103.0.117
c).配置过载
ip nat inside source list 110 interface FastEthernet0/2 overload
access-list 110 permit ip 172.27.0.0
0.0.255.255
any
2,配置 Core switch
a)配置 VTP
VTP Version
: 2
Configuration Revision
: 7
Maximum VLANs supported locally : 1005
Number of existing VLANs
: 9
VTP Operating Mode
: Server
VTP Domain Name
: OA
VTP Pruning Mode
: Disabled
VTP V2 Mode
: Enabled
VTP Traps Generation
: Enabled
b) 配置 VLAN
core-sw#vlan database 进入 vlan 配置模式
core-sw (vlan)#vtp domain OA 设置 vtp 管理域名称 OA
core-sw (vlan)#vtp server 设置交换机为服务器模式
core-sw (vlan)#vlan 10 name shichang
创建 VLAN 10,命名为市场
core-sw (vlan)#vlan 11 name caiwu
core-sw (vlan)#vlan 12 name sheji
core-sw (vlan)#vlan 13 name netprinter
core-sw (vlan)#vlan 20 name server
core-sw(config)#interface vlan 10
core-sw(config-if)#ip address 172.27.47.254 255.255.255.0
core-sw(config)#interface vlan 11
core-sw(config-if)#ip address 172.27.45.254 255.255.255.0
core-sw(config)#interface vlan 12
core-sw(config-if)#ip address 172.27.46.254 255.255.255.0
core-sw(config)#interface vlan 13
core-sw(config-if)#ip address 172.27.31.254 255.255.255.0
core-sw(config)#interface vlan 20
core-sw(config-if)#ip address 172.27.2.254 255.255.255.0
将 CORE-SW 上的端口根据需要划分至各个 VLAN
c) 配置 ACL
配置 ACL 应用在各个部门 VLAN 接口上,控制各部门互访
access-list 10 permit 172.27.2.0 0.0.0.255
access-list 10 permit 172.27.31.0 0.0.0.255
access-list 10 deny
172.27.0.0 0.0.255.255
access-list 10 permit any
access-list 10 应用于 VLAN 10 OUT 方向上,市场部内部可以互访,可以访问
服务器网段和网络打印机网段,但不能访问财务部和设计部所在网段
access-list 11 permit 172.27.2.0 0.0.0.255
access-list 11 permit 172.27.31.0 0.0.0.255
access-list 11 permit 172.27.47.0 0.0.0.255
access-list 11 deny
172.27.0.0 0.0.255.255
access-list 11 permit any
access-list 11 应用在 VLAN 11 OUT 方向上,财务部内部可以互访问,可以访
问服务器网段和网络打印机网络,可以访问市场部网段,但不能访问设计部网段
设计部 VLAN 12 ,网络打印机 VLAN 13,服务器 VLAN 20 可以访问任意网段,
应用访问列表 access-list 101 在 in 的方向上,封掉常见病毒端口,(可以根
据实际需要
将此 ACL 应用于任一接口)
access-list 101 deny
tcp any any eq 1068
access-list 101 deny
tcp any any eq 2046
access-list 101 deny
udp any any eq 2046
access-list 101 deny
tcp any any eq 4444
access-list 101 deny
udp any any eq 4444
access-list 101 deny
tcp any any eq 1434
access-list 101 deny
udp any any eq 1434
access-list 101 deny
tcp any any eq 5554
access-list 101 deny
tcp any any eq 9996
access-list 101 deny
tcp any any eq 6881
access-list 101 deny
tcp any any eq 6882
access-list 101 deny
tcp any any eq 16881
access-list 101 deny
udp any any eq 5554
access-list 101 deny
udp any any eq 9996
access-list 101 deny
udp any any eq 6881
access-list 101 deny
udp any any eq 6882
access-list 101 deny
udp any any eq 16881
access-list 101 permit ip any any